中小企業だからこそ狙われる現実を知る

Transcript

1. ⾝近な事例で学ぶ 中⼩企業のためのサイバーセキュリティ対策 〜中⼩企業だからこそ、狙われる現実を知る〜 2026/02/19 Development Network 代表 松⽥ 康宏

2. 今⽉からサイバーセキュリティ⽉間 毎年2⽉1⽇から3⽉18⽇まで サイバーセキュリティ⽉間です 2

3. 実は少し有名⼈・・・ ⽉曜⽇のイベントでNHKに晒されてしまいました😆 3

4. 仕事 ▮ ITコンサルタント（ULSコンサルティング株式会社所属） ⼠業資格 ▮ 中⼩企業診断⼠ 情報処理安全確保⽀援⼠ ファイナンシャル・プランニング技能⼠2級（AFP） 主な活動 ▮

   ⽩⼭商⼯会議所⻘年部 AWS Community Builder ⽩⼭市内の中学校PTA会⻑・学校運営協議会コーディネータ 座右の銘 ▮ ⼀塁ベースを持って⼆塁に盗塁する (安定とチャレンジの両⽴) 松⽥ 康宏 まつだ やすひろ

5. Copyright © 2011-2026 ULS Consulting, Inc. All rights reserved. -

   Proprietary & Confidential - 5 以下のお悩みを所属企業のULSコンサルティングは解決しています。 事例に近いお悩み事がある⽅はぜひお声がけください。 クラウドのお悩み・お困りごとありませんか︖ クラウド利用が 管理できなくなっている 事例 #1 クラウド利用拡大に向けた 準備を進めたい 事例 #2 アーキテクチャの サイロ化に悩んでいる 事例 #3 クラウド利用が急速に進み クラウド人材が不足 事例 #4 クラウド構築・運用を 内製していきたい 事例 #5 環境構築の 効率化・自動化をしたい 事例 #6 整備したガイドラインや 共通基盤が古くなっている 事例 #7 自社の クラウドセキュリティが 不安 事例 #8 クラウドコストが高止まり している 事例 #9

6. 経歴 ⽐較.com株式会社／東京都 プログラマ (2006年3⽉マザーズ上場) 株式会社エンブレム／東京都 （三⾕産業株式会社⼦会社） システムエンジニア 福島印刷株式会社／⽯川県 ⽣産管理、設計、インフラエンジニア 神奈川県宮前区に引越

   株式会社三省堂／東京都 プログラマ ⽯川県⽩⼭市 （旧︓松任市） ⽣ま 東京都江⼾川区に引越 ⽯川県⽩⼭市にUターン 千葉県船橋市に引越 中⼩企業診断⼠登録 FP2級取得 イースト株式会社／東京都 インフラエンジニア ULSコンサルティング株式会社／東京都 ITコンサルタント 6 東京都府中市に引越 ITエンジニアとして5度の転職を経てキャリアアップを重ね今に⾄るフルリモートワーカー

7. 個⼈事業主としての活動 ・⽯川県アドバイザー派遣制度専⾨家 ・認定経営⾰新等⽀援機関、認定情報処理⽀援機関 としての伴⾛⽀援 ・補助⾦申請⽀援 ⼩規模事業者持続化補助⾦ 賃上げに向けた省⼒化投資⽀援事業 省⼒化投資補助⾦（⼀般型） ・セミナー講師 職業能⼒開発促進センター(ポリテクセンター)

   社会保険労務⼠会、⼩松商⼯会議所、⽩⼭商⼯会議所 ⽯川県地域振興課等 7

8. 皆さんも是⾮⾃⼰紹介をお願いします(各1分) ・お名前 ・お仕事 （セキュリティとどのようなつながりでお仕事をされているか） ・なぜこのセミナーに参加しようと思ったか 8

9. ここからはポッドキャストにてお楽しみください ⽣成AIの⾳声のため、読み⽅の誤り等はご容赦ください🙏

10. ポッドキャスト内容のふりかえり

11. ポッドキャストを通じて持って帰っていただきたいこと ・なぜ私たちにとってセキュリティとバックアップが重要な のかを理解できるようになる ・私たちで簡単にできるセキュリティ対策、バックアップ 対策について理解できるようになる

12. 私たちの情報セキュリティの実態 ヒト、モノ、カネが限られる ヒト・・・情報システム担当者不在 モノ・・・データは各コンピュータにある カネ・・・古いOSが未だに動いている

13. 私たちにはセキュリティ対策は関係ない︖ サプライチェーンの弱点を悪⽤した攻撃が順位を上げており、企業との 取引を⾏っている私たちも攻撃対象になりうる 順位 2023 2024 1位 ランサムウェアによる被害 ランサムウェアによる被害 ー

    2位 サプライチェーンの弱点を悪⽤した攻撃 サプライチェーンの弱点を悪⽤した攻撃 ー 3位 標的型攻撃による機密情報の窃取 内部不正による情報漏えい ↑ 4位 内部不正による情報漏えい 標的型攻撃による機密情報の窃取 ↓ 5位 テレワーク等のニューノーマルな働き⽅を 狙った攻撃 修正プログラムの公開前を狙う攻撃 （ゼロディ攻撃） ↑ 情報セキュリティ10⼤脅威 「組織」向けの脅威順位

14. ・セキュリティ サプライチェーンの弱点を悪⽤した攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最⼩限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか︖ でも、システムがお⾦をうまない２⼤要素のうちの⼀つ

15. セキュリティもバックアップも守りたいのはデータ データは２１世紀の⽯油 「世界ICTサミット2014」に登壇した⽇本アイ・ビー・エ ム 代表取締役社⻑ マーティン・イェッター⽒の講演 データは⼈、モノ、カネに続く 第四の経営資源 出所）https://www.sbbit.jp/article/cont1/28284

16. 情報セキュリティ⾃社診断

17. 優先順位の付け⽅ リスクマネジメント 情報資産に関するリスク源（脅威･脆弱性等)とそれにより発⽣する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵⼊ ▶ 端末に残留 する脆弱性を

    利⽤し感染 ▶ 感染端末を 権限を奪取し 遠隔操作 ▶ サーバへ アクセスして データを窃取 ▶ 窃取した データを 社外へ流出 ▶ 顧客からの 信⽤失墜、 業務の ⼀時停⽌ リスク源 事象 結果 リスク算定の例 ALE（年間損失⾒込み額）＝ SLE（単⼀損失予想）× ARO（年間発⽣率）

18. 影響度 ⾼ 影響度 低 発⽣確率 低 発⽣確率 ⾼ リスク移転 （共有）

    リスク回避 リスク保有 リスク低減 （最適化） 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす（影響度･確率共に） リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の⽅法 算定した結果を、あらかじめ決めたリスク基準に知らして受容･許容するか何らかのリスク 対応を適⽤するのかを決定する。

19. 影響度 ⾼ 影響度 低 発⽣確率 低 発⽣確率 ⾼ リスク移転 （共有）

    リスク回避 リスク保有 リスク低減 （最適化） 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす（影響度･確率共に） リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク低減の⽅法 リスクを減らす取組についてみてみましょう︕

20. 私たちでも簡単にできるセキュリティ対策 ・リモートワーク時の留意点 ・パソコンの盗難防⽌ ・記憶媒体の取扱

21. リモートワークにおける留意点について （⾃宅や公共スペースのWi-Fiを使⽤しての業務等） ▋パスワードを必要としないアクセスポ イント（オープンと記載があるもの）に は原則接続しない。やむを得ず接続する 場合には、HTTPSになっていない通信を しない。ログインが必要な作業はしない ことを⼼がける。 暗号化されていないことにより、通信が 盗聴されるため

22. リモートワークにおける留意点について （⾃宅や公共スペースのWi-Fiを使⽤しての業務等） ▋店内にパスワードが貼りだされているアクセスポ イントや、客室共通パスワードとなっているアクセ スポイントには接続しない アクセスポイントがなりすまされていた 場合に、通信が盗聴されるため

23. リモートワークにおける留意点について （⾃宅や公共スペースでの業務等） ▋プライバシーフィルターをつけること ▋離席時に画⾯をロックすること ▋データをパソコン内に保存しないこと 公共スペースでの作業は通信が盗聴されるだけでなく、画⾯を直接のぞ き⾒されることにも注意する必要がある

24. 来客者に事務所のWiFiを提供することのリスク ▋ゲスト⽤のSSIDを準備し、来客者に開放する 同じネットワーク内に接続されてしまうことでファイル共有されたファイルを閲覧されるリ スクや、通信の漏洩、ウィルス感染するリスクにさらされるため

25. パソコンの盗難防⽌措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックな ど盗難防⽌を施すことが望ましい（機器がなくなることへの対策ではなく、デー タが持ち出されることへの対策） ▋盗難された場合のデータの流出を防⽌するため、ログインパスワードの設定、 （Windows 10 Professional 以降の場合には）BitLockerを有効化し てディスクを暗号化することを検討

26. 記憶媒体（USB等）の取扱について ▋記憶媒体は原則利⽤せず、データの受渡にはOneDriveやGoogle Drive などファイル共有の仕組みを利⽤する ▋やむを得ず利⽤せざるを得ない現場では、台帳管理を徹底し、出所が分か らないUSBや他⼈のUSBはパソコンに接続しないことを⼼がける 媒体を紛失した場合のリスクが⼤きいだけでなく、接続した際のウィルス感 染リスクも考慮する

27. 使⽤するパソコンの留意点 ▋Windows Updateなどが適⽤されているか確認する ▋古いWindows Updateなど更新ができなくなったOSは利⽤しない ▋他⼈のパソコンは安易に利⽤しない ウィルスへの感染リスクが⾼まるほか、キーロガーなどがインストールされ ていると、⼊⼒した内容が漏洩してしまう

28. 標的型攻撃メールにも気を付けましょう︕

29. クラウドにデータを保存する上での留意事項 ▋アクセス権限が適切であるか ▋保存する⽬的（共有、バックアップ等）を確認し、⽬的外のデータを保管 しない ▋保存データ量の変化に気を付ける ▋サービス障害時の代替策を確⽴しておく 第三者に閲覧されるリスクやデータ量が増えることにより、必要以上の課 ⾦を防ぐ

30. クラウド管理の有効性及び危険性について ▋複数端末や、複数⼈でデータを共有するためには⾮常に有⽤ ▋同期する仕組みを活⽤すると⾃動バックアップができるので、端末故障による データ損失に備えられる ▋契約時のSLAやクラウドベンダーの財務状況を把握し、突然のサービス停⽌ の可能性を考慮する ▋保存する国の法規制や突然のサービス停⽌時の代替策を確保しておく必要 性がある

31. AI活⽤におけるセキュリティの留意事項

32. ⽣成AIへの⼊⼒と出⼒に留意する • 情報漏洩 ⼊⼒した情報がモデルの学習に利⽤され、機密情報を知ったモデルが 今後リリースされてしまう • 意図しない権利侵害 最新の利⽤規約を確認し、 ファクトチェックだけでなく、著作権などの 権利侵害に気をつける

    ⽣成AIの活⽤で気をつけたいこと 32 出所︓https://policies.google.com/terms?hl=ja

33. プロンプトの内容を学習に利⽤されてしまわないように利⽤規約などをよく読ん で利⽤するようにする AIの活⽤を通じた情報漏えいの対策① 33 出所︓ https://support.google.com/gemini/answer/13594961?hl=ja

34. 機密性に区分を設け、漏えいしては困る情報は社外の⼈へ話さないことと 同じく、AIに⼊⼒しない 広報の情報元は公開情報が多いと 考えられるが、居酒屋や移動中の 公共機関で話をしても⼤丈夫な 内容かを確認して⼊⼒をする AIの活⽤を通じた情報漏えいの対策② 34 出所︓⽂章⽣成AI利活⽤に関するガイドライン p.14

    https://www.digitalservice.metro.tokyo.lg.jp/documents/d/digitalservice/ai_guideline/

35. ご質問タイム

36. デスクトップ仮想化 (VDI) が注⽬される背景 36 ▮ 当初はセキュリティ向上、デスクトップ管理性向上によるコスト削減で注⽬された ▮ リモートで安全に業務ができることから、働き⽅改⾰の⽂脈でも注⽬されるようになった 働き⽅改⾰ コスト削減

    セキュリティ 向上 ▮ 持ち出しPCの紛失 ▮ 重要データのローカル保存 ▮ ローカル管理者権限の付与 ▮ ⼤量の管理外アプリ ▮ ダイバーシティ実現 ▮ ⽣産性の向上 ▮ 組織間連携の強化 ▮ 意思決定の迅速化 ▮ PC購⼊コスト ▮ PC運⽤コスト ▮ 従業員の⽣産性 ▮ 災害リスク

37. IDaaS - Identity as a Service（アイデンティティ・アズ・ア・サービス） 37 例 ログイン IDaaS

    認証 連携 複数のクラウドサービスを使う上での安全に認証情報を管理する⼿法 クラウドサービス SaaS プラットフォーム上アプリ PaaS/IaaS ディレクトリ 連携 アクセス 場所 認証 ⽅法 オフィス ⾃宅 外出先 IP アドレス OTP デバイス 証明書 ⽣体認証

38. 本⽇感じたられたことの発表

39. 茶話会を開催することとなりましたので 是⾮参加してみてください セキュリティでちょっと相談したい⽅へ 39

40. さいごに #サイバーセキュリティは全員参加